Сбор персональных данных – теперь это мрак. Коснется всех!

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Сбор персональных данных – теперь это мрак. Коснется всех!». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Понятие персональных данных

Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

Ответственность за нарушение законодательства

Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).

Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.

Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):

• 6–10 тыс. руб. — на граждан;
• 20–40 тыс. руб. — на должностных лиц;
• 30–150 тыс. руб. — на юридических лиц.

ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.

Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).

Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).

Обработка персональных данных — юридические аспекты оформления сайта

На сегодняшний день многие предприниматели, юристы и обычные пользователи интернета задаются вопросом о необходимости размещения на сайтах документов, регулирующих правила пользования сайтом (сервисом), порядок и основания обработки персональных данных пользователей.

После внесения поправок в КоАП, которые увеличили ответственность за нарушение законодательства в области персональных данных, эта тема приобрела особую актуальность.

Разберемся, какие обязательства возникают у оператора-администратора сайта, какие документы необходимо размещать на его страницах и как избежать санкций.

• В соответствии с Федеральным законом «О персональных данных» оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• Здесь же логично привести определение понятию «обработка персональных данных» — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Итак, если на сайте имеется какая-либо форма запроса, регистрации или иная форма, подразумевающая ввод и предоставление персональных данных пользователем, то лицо осуществляющее их сбор (администратор сайта), признается оператором персональных данных.

В соответствии с ФЗ № 152 от 27.07.2006, персональные данные (сокращенно — ПДн) – это любая информация, относящаяся прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных).

Установленная законодателем формулировка очень расплывчата, в связи с чем в судебной практике имеется большое количество споров по вопросу отнесения тех или иных данных к персональным.

Например, самый актуальный вопрос на сегодня – является ли номер телефона, без предоставления имени, фамилии и иной конкретизирующей информации, персональными данными? В разъяснениях Роскомнадзора прослеживается позиция о непринадлежности номера телефона, без указаний на дополнительную информацию о субъекте, к персональным данным. При этом судебная практика говорит об обратном – суды подчеркивают, что даже если номер телефона размещен в интернете (находится в открытом доступе), использовать номер телефона в своих целях без согласия субъекта неправомерно (Апелляционное определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016).

Законодательные основы

Все процедуры, касающиеся обработки персональных данных (ПД), указаны в Федеральном законе Российской Федерации «О персональных данных» от 27 июля 2006 года. В законодательном акте N 152-ФЗ четко сказано, что к личной информации относятся любые ведомости, которые прямо или косвенно относятся к физическому лицу, иными словами, принадлежат субъекту (подробнее о том, какая информация относится к ПД, читайте , а в этой статье вы найдете примеры персональных данных).

Статья 19 Гражданского кодекса Российской Федерации сообщает, что ФИО определяет гражданина. С приобретением имени, фамилии и отчества гражданин получает и осуществляет права и обязанности под своим именем. В законе говорится о том, что ФИО принадлежит человеку, поэтому, если вернуться к определению из ФЗ «О персональных данных», такая информация должна являться персональной со всеми юридическими последствиями и нюансами при ее распространении и обработке.

В то же время Роскомнадзор, регулирующий информационную деятельность в сети интернет, отмечает, что размещение на веб-страницах всемирной паутины фамилии, имени и отчества без каких либо дополнительных пояснений, не считается обработкой ПД физического лица. Роскомнадзор указывает на еще одну важную характеристику конфиденциальных ведомостей – они должны давать возможность выяснить личность гражданина.

Важно! Распространение персональных данных возможно только после разрешения на обработку субъектом и владельцем ПД.

• Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.

Юридические основания

Вопросы о том, какие сведения относятся к рассматриваемой категории рассматриваются в законе № 152-ФЗ, «О персональных данных» от 27 января 2007 года. Основанием для принятия этого нормативного акта является необходимость обеспечения прав и свобод граждан.

В нём применяется очень широкая трактовка того, что представляют собой персональные данные (ПДн). Здесь рассматривается то, какие сведения охраняются, что считается обработкой и по каким правилам она должна происходить.

При этом информация любого характера, имеющая отношение к конкретному лицу подпадает под действие этого закона. Этот нормативный акт регламентирует, то, какая именно обработка такой информации допустима и как она должна храниться.

Специальные категории

Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:

• Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
• Обработка ПД, перечисленных в пункте 1, допускается.

Но при условии, если:

1. на обработку ПД получено письменное разрешение от их владельца;
2. они общедоступны;
3. ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
4. она необходима при осуществлении судебных мер;
5. она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.

Средства защиты и охраны персональных данных

Надежность ПД обеспечивается:

• установлением рисков при обработке ПД в ИС;
• постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
• процедура совершенствования средств и результативности защиты;
• постоянное рассмотрение машинных носителей ПД;
• мгновенное установление неразрешенного проникновения;
• восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
• фиксация и учет всех действий, которые совершаются в ИС;
• используется сотрудничество с вневедомственной охраной;
• база данных защищена паролями, известными только людьми, у которых есть право доступа;

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2. Федеральный закон от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
3. Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера».
4. Апелляционное определение СК по гражданским делам Московского городского суда от 6 сентября 2012 г. по делу N 11-17136.
5. Апелляционное определение СК по гражданским делам Санкт-Петербургского городского суда от 15 июля 2013 г. по делу N 33-10329/13.
6. Определение Санкт-Петербургского городского суда от 26 марта 2013 г. N 33-3815/13.
7. Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14.

Что включает понятие персональные данные

В связи с тем, что Закона о персональных данных понятие имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства и адрес фактического проживания;
• (домашний, мобильный);
• данные документов об образовании, , профессиональной подготовке, сведения о повышении квалификации;
• семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и законодательством;
• отношение к воинской обязанности;
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• ;
• ;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
• сведения о в ООО «Ромашка»;
• сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

• Какое сочетание указанной выше информации дает основание считать ее персональными данными?

• Каков минимальный объем информации позволяет считать ее персональными данными?

• Является ли фамилия (без указания имени и отчества) персональными данными?

• Является ли адрес электронной почты персональными данными?

Хранение ПДн и механизм защиты

В соответствии с требованиями законодательства, операторы должны самостоятельно использовать средства обеспечения безопасности для собранных ими персональных данных. Это реализуется при помощи:

• Допуска к работе с информационной системой только заранее определенного круга лиц, имеющих соответствующие инструкции и предупрежденных об ответственности за несанкционированное распространение сведений. Если компьютерная ИС содержит ПДн специального типа, то работа с ней (просмотры, изменения и др.) должны фиксироваться в специальном электронном журнале. С помощью современных информационных технологий можно сделать этот процесс автоматическим.
• Мер по созданию высокого уровня защищенности ИС, блокировке несанкционированного доступа (например, в результате хакерской атаки), оперативному восстановлению исходной информации из резервной копии в случае нанесения урона компьютерным вирусом и пр. Если личные сведения находятся в аналоговой форме (например, это бумажные анкеты с информацией о работниках предприятия), необходимо принять меры для их перевода в цифровой формат.
• Контроля Роскомнадзора, следящего, чтобы текущая обработка личной информации работников велась в соответствии с законодательными нормами. Также это ведомство проверяет, чтобы хранение ПДн, обрабатываемых в рамках трудовых обязанностей происходило в условиях, когда исключена утечка персональных данных и их незаконное использование.

Какие отношения регулируются законом

Речь идет об отношениях субъекта – то есть человека, чьи личностные данные были получены, и оператора, который будет осуществлять их обработку и хранение. Если с гражданином все понятно, то вот с оператором не совсем.

Под это понятие попадают государственные учреждения, частные организации, даже физические лица. Оператором ПД можно назвать любую компанию, даже физическое лицо, в случае если оно получило определенные сведения от гражданина, касающиеся его частной жизни.

Суть отношений:

• человек предоставляет определенные сведения, которые подтверждены документально, дает расписку о том, что разрешает хранить эти данные и обрабатывать их;
• оператор получает информацию, обрабатывает ее и хранит, но при этом ему запрещается использовать сведения, полученные от гражданина, с целью достижения выгоды или предоставления ее третьим лицам.

Основные положения закона

Широкое понятие о персональных данных включает всю информацию о человеке

Примечательно, что государство не разграничило понятие «личностных данных», то есть под понятие ПД могут попасть любые сведения, касающиеся жизни человека, состояния его здоровья и прочие.

Юристы считают, что этот закон не доработан, а значит, понятие «личная информация» можно классифицировать, как угодно. То есть строгих ограничений нет. Так, если данные касаются человека, его личной жизни, помогают установить с ним контакт, то ее можно классифицировать, как частную. Отношения между организацией, физическим лицом и гражданином регламентируются ФЗ.

Проект запрещает:

1. Предавать сведения огласке, предоставлять их третьим лицам.
2. Использовать с целью получения выгоды.
3. Пользоваться данными, преследуя свои цели, в стремлении отомстить или опорочить гражданина.

Все это нарушает нормы законодательства РФ. Но в определенных случаях, когда гражданин считается преступником, его ПД могут быть предоставлены блюстителям порядка. Что также не считается нарушением законодательства нашей страны.

1. О базе номеров телефонов

Согласно ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Абонентский номер (номер телефона) – это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств. Из этого следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому если юридическое лицо формирует базу телефонных номеров без сопоставимого перечня ФИО/адреса проживания, то такое юридическое лицо не считается обрабатывающим персональные данные. На такой вид деятельности не распространяются ограничения, связанные с обработкой персональных данных.

Похожие записи:

• Правила въезда граждан Молдовы в Россию к мужу
• Гражданство Российской Федерации
• Какие законы о недвижимости заработают в 2023 году